[附POC]OpenSSL曝严重安全漏洞,国内大量网站中招

blue 2014-04-08 +10 261209人围观 ,发现 48 个不明物体 漏洞

OpenSSL的协议中,刚刚曝光了一个“毁灭性”的安全漏洞,或暴露某些重量级服务的加密密钥(cryptographic keys)和私有通信(private communications)。如果你的服务器正在使用OpenSSL 1.0.1f,请务必立即升级到OpenSSL 1.0.1g。此外,1.0.1以前的版本不受此影响,但是1.0.2-beta仍需修复。

Heartbleed.com已经披露了相关细节,指出该漏洞与OpenSSL传输层安全协议的“heartbeat”部分有关。该问题甚至比苹果最近的SSL bug还要危险(因为这敞开了被恶意中间人攻击的大门)。
该bug是由安全公司Codenomicon和谷歌安全工程师独立发现的,据了解国内大量网站存在该漏洞,网友更称该漏洞为今年史上最强大的漏洞,如下图:

您可以通过以下地址检测您的网站是否存在该漏洞,如下:

http://possible.lv/tools/hb/

或使用附件中脚本测试,下载地址 (本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!)

ssltest.zip

修复建议:

升级OpenSSL 1.0.1g 版本

更多技术细节可以参考Heartbleed网站Hacker News上的讨论也极具价值。

blue

这家伙太懒,还未填写个人描述!

这些评论亮了

  • pnig0s (7级) FreeBuf技术处书记 回复
    可以监控你的私密访问数据,获取你的Cookies,Session,订单数据,比特币交易数据,转账支付数据,后端与数据库交互数据。
    )30( 亮了
  • 阿布 (3级) qq:2920151665 回复
    C:\Python27>ssltest.py https://forum.90sec.org -p 443
    Connecting...
    Traceback (most recent call last):
    File "C:\Python27\ssltest.py", line 136, in <module>
    main()
    File "C:\Python27\ssltest.py", line 115, in main
    s.connect((args[0], opts.port))
    File "C:\Python27\lib\socket.py", line 222, in meth
    return getattr(self._sock,name)(*args)
    socket.error: [Errno 10060]
    大牛如何解决
    )13( 亮了
  • softbug (7级) 四川建设网安全工程师 回复
    这个跟服务器有关系吗 openssl?
    )11( 亮了
  • pw 回复
    https://github.com/FiloSottile/Heartbleed/issues 支付宝被爆菊了。。。,修改heartbleed.go 30行的buffer size,有惊喜哦
    )10( 亮了
  • 杰克船长 回复
    请问升级到OpenSSL 1.0.1g,nginx需要重新编译一次吗?
    )8( 亮了
发表评论

已有 48 条评论

取消
Loading...

blue

这家伙太懒,还未填写个人描述!

227篇文章0条评论

特别推荐

关注我们 分享每日精选文章

不容错过

css.php